
要求提供者聲明不非法獲取用戶數(shù)據(jù)、控制和操縱用戶系統(tǒng)和設(shè)備,或利用用戶對產(chǎn)品的依賴性謀取不正當利益或者迫使用戶更新?lián)Q代。
應建立和維護合格供應方目錄。應選擇有保障的供應方,防范出現(xiàn)因政治、外交、貿(mào)易等非技術(shù)因素導致產(chǎn)品和服務(wù)供應中斷的風險。
應自行或委托第三方網(wǎng)絡(luò)安全服務(wù)機構(gòu)對定制開發(fā)的軟件進行源代碼安全檢測,或由供應方 提供第三方網(wǎng)絡(luò)安全服務(wù)機構(gòu)出具的代碼安全檢測報告。
長揚科技解讀
由于我國關(guān)鍵基礎(chǔ)設(shè)施行業(yè)例如電力、石油化工、燃氣水務(wù)等行業(yè),其核心工業(yè)控制系統(tǒng)大部分被國外壟斷,在國內(nèi)外日益嚴峻的大背景下,為了避免出現(xiàn)因為“卡脖子”而影響關(guān)基企業(yè)運行安全的事件,供應鏈安全的重要性日益凸顯。本次《要求》新增供應鏈安全,對于國家關(guān)鍵信息基礎(chǔ)設(shè)施運營者在未來的采購、建設(shè)、運行、升級、管理等方面,都提供了有力的要求。
3.2.4 新增數(shù)據(jù)安全防護
2021年9月1日施行的《中華人民共和國數(shù)據(jù)安全法》中,第三十一條提到:對關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)進行管理。
《要求》中對于數(shù)據(jù)安全防護,應建立數(shù)據(jù)安全管理責任和評價考核制度,包括數(shù)據(jù)安全保護計劃、數(shù)據(jù)安全風險評估、數(shù)據(jù)安全事件應急預案,組織數(shù)字安全教育等。同時對數(shù)據(jù)分類分級、保護個人數(shù)據(jù)的重要性、數(shù)據(jù)備份等方面做出要求。另外還首次對廢棄數(shù)據(jù)處理作出要求,要求按照數(shù)據(jù)安全保護策略對儲存的數(shù)據(jù)進行處理。
長揚科技解讀
中央在2020年提出數(shù)據(jù)已經(jīng)成為除土地、勞動力、資本、技術(shù)之外的第五個要素。《要求》的發(fā)布是繼《數(shù)據(jù)安全法》發(fā)布后,再一次把數(shù)據(jù)安全作為綱領(lǐng)性要求進行了獨立闡述,也詮釋了數(shù)據(jù)作為關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的重要性。運營者應加強對數(shù)據(jù)分類分級管理,以及對數(shù)據(jù)的使用、加工、傳輸、提供和公開等環(huán)節(jié)進行全生命周期保護。
3.3 檢測評估
《要求》中對檢測評估的定義為:為檢驗安全防護措施的有效性,發(fā)現(xiàn)網(wǎng)絡(luò)安全風險隱患,應建立相應的檢測評估制度,確定檢測評估流程及內(nèi)容等,開展安全檢測與風險隱患評估,分析潛在安全風險可能引發(fā)的安全事件。
長揚科技解讀
對比等保2.0要求可以發(fā)現(xiàn),“商用密碼應用安全性評估情況、數(shù)據(jù)安全防護情況、供應鏈安全保護情況、攻防演練”等內(nèi)容,首次作為檢測評估項被明確提出,由此可見,在未來的關(guān)保檢查工作當中,運營者需要重點關(guān)注在以上方面自身的能力建設(shè),彌補相關(guān)短板。
3.3.1 檢測評估工作流程
檢測評估工作開展前,應明確關(guān)鍵信息基礎(chǔ)設(shè)施檢查評估活動的背景、目標、原則、依據(jù),充分調(diào)研檢測評估對象所屬行業(yè)的相關(guān)標準及政策文件的要求,確定檢測評估工作任務(wù)。具體工作流程如下圖所示:
圖7 關(guān)基檢測評估工作流程圖
新聞爆料